А, понЯл. Ключевые слова "для обновления или управления". Обязательно должен быть стенд для апдейтов на стороне заказчика. Там раскатываются и тестятся обновления, а дальше сотрудники зокии сами их раскатывают на боевом железе. Тех.по. не имеет доступа к управлению, только траблшутинг и восстановление.

Речь идёт вот об этом (приказ 239, п 31):

"В значимом объекте не допускаются:

наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры"

Вы можете дать удаленный доступ, но только при соблюдении этого запрета.

то есть этого работника нужно устроить к себе на работу и дать ему доступ к сети предприятия через криптовпн..?

Именно так

Есть разные варианты, нужно смотреть ситуацию на месте

я уже все перебрал.... не вижу ничего другого

а неогбходимо удаленно управлять , администрироать а итд

Там есть несколько вариантов:
1: "непосредственно";
2: "для обновления или управления"
3: "не являющихся работниками"

Там есть масса тонкостей, которые можно обсуждать только индивидуально с учётом специфики

именно это все и имеет место. быть. подрядная организация осуществляет удаленный мониторинг и управление.

я просто спросил - успешно кто-то решил или нет? я так понимаю что нет.

Если использовать сертифицированный vpn, это не будет считаться "удаленным" доступом, на сколько я понимаю. В этом случае можно и не сотрудников допустить, по договору, конечно

Вот так, в рассуждениях, мы понимаем, что не понимаем, чего именно хотел регулятор, когда писал такую формулировку, и где те красные линии, за пределы, которых выходить опасно.

а критерии сертификации прописаны? или только по личному распоряжению особые правоверные клиенты и протоколы?

Сомневаюсь что в таком случае доступ не будет удаленным.
Думается удаленный доступ зависит от расположения субъекта доступа по отношению к объекту или контролируемой зоны, а не от используемых технологий подключения, наименований производителей средств или наличию сертификатов.

были комментарии от ФСТЭК по этому поводу, которые сводились именно к использованию сертифицированных скзи.
Чуть позже напишу подробнее

Не верно

Сертифцированность средств защиты а также их наличие не влияет на данное требование - удалённый доступ запрещён к зокии

П.31 приказа ФСТЭК №239 от 25.12.2017г.:
«…
В значимом объекте не допускаются: наличие удаленного доступа непосредственно (напрямую) к программным
и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры; наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры; передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.
…»

В соответствии с «Мерами защиты информации в ГИС», утвержденными Приказом ФСТЭК №675 от 11.02.2014г.:
«Удаленный доступ: процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ.»

В том же документе:
«Внешняя информационная система: информационная система, взаимодействующая с информационной системой оператора из-за пределов границ информационной системы оператора.
Внешняя информационно-телекоммуникационная сеть: информационно-телекоммуникационная сеть, взаимодействующая с информационной системой оператора из-за пределов границ информационной системы оператора.
Периметр информационной системы: физическая и (или) логическая граница информационной системы (сегмента информационной системы), в пределах которой оператором обеспечивается защита информации в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации.»


Таким образом, если субъект КИИ определит правила и процедуры защиты информации при её передаче по сети передачи данных, построит для их реализации VPN сеть и обеспечит контроль реализации этих правил, то VPN сеть будет находится в пределах границы ИС.

Таким образом, если АРМы специалистов компании-аутсорсинга находятся внутри VPN сети, то это не будет считаться удалённым доступом.
VPN должна быть построена на базе сертифицированных СКЗИ.

Подтверждается Лютиковым на одной из встреч ФСТЭКа от 13.11.2018г. (п.10 по ссылке: https://www.securitylab.ru/blog/personal/Business_without_danger/345125.php)

Поподробней, где зафиксировано что VPN  должна быть построена на сертифицированных СКЗИ? В 235 допускается оценка соответствия.

Здесь есть интересный вопрос. Согласно проекту методики моделирования угроз, любой доступ, использующий локальную учётную запись пользователя, считается локальным доступом. Т.е. ключевым для "локальный/удаленный" является не способ "как чувак к нам попал", а "он наш пользователь или не наш".

Но это пока проект и он пока через дебаты в рабочей группе не прошел